Главная страница » Индикаторы компрометации
0
12 месяцев
Индикаторы компрометации

Adwind/jRAT Malware IOCs

security

CERT-AGID наблюдает серию кампаний распространения вредоносного ПО Adwind/jRAT в Италии. Кампания, запущенная 12 июня 2024 года, использует письма с прикрепленными ZIP-архивами, содержащими HTML-файлы. Если язык браузера установлен на итальянский, отображается веб-страница с вредоносным содержимым, представленная в виде изображения, которое при клике на кнопку "ОК" открывает JAR-файл INVOICE.jar.

Файл INVOICE.jar содержит несколько зашифрованных строк и содержит функцию, проверяющую язык системы, на которой он запущен. Если системный язык и браузерный язык являются итальянскими, то файл выполняет вредоносные действия. Онлайн-песочницы не обнаруживают его как вредоносное ПО, потому что он использует английский язык по умолчанию на системе и в браузере песочницы.

Чтобы расшифровать зашифрованные строки, INVOICE.jar использует различные алгоритмы шифрования, такие как Blowfish и DES. Код на JDoodle представляет методы, которые используются для расшифровки строк, включая функцию MD5-хеширования ключей, создание секретного ключа и использование шифра для расшифровки этих строк.

Чтобы успешно расшифровать строки, файл должен быть запущен на системе с установленным итальянским языком и не должен работать в виртуальной среде. Обойдя предварительные проверки и используя функции расшифровки, можно получить открытые строки. Приведен пример кода для расшифровки некоторых строк.

В целом, эта кампания представляет серьезную угрозу для пользователей в Италии. Она использует уязвимости в языке браузера и системы для распространения вредоносного ПО и выполняет вредоносные действия при соблюдении определенных условий. Пользователям следует быть осторожными при открытии электронной почты и приложений и обновлять свои системы и программы, чтобы избежать таких атак.

Indicators of Compromise

IPv4

  • 65.38.120.211

URLs

  • https://construtorasilvaemendes.com/66d68ce73c83226asnd81948966d68ce73c83226a/
  • https://download2282.mediafire.com/tyi44yv1a8lg1N2Lb-gD-FL-DET8qupkusoJCwtmBgv74yIU6QLZqsGG8S4JhSxLonqFbx5OlrtOkFObaHqHBftq35drrXb5YiIYCScWGPhgaD4EZQzar2B-BRoi9u_tGxm1VvJxM3LjnWKMPAi7kc5GPRyRj7XKKNmixBTx82s/77afjtvib6zxooh/DOCUMENTO.jar
  • https://imagems17.appsabs.site/Imagem.jpg
  • https://imagems20.appsabs.site/Imagem.jpg
  • https://immobiliarebelliniepecunia.xyz
  • https://immobiliarebelliniepecunia.xyz/66d68ce73c83226asnd81948966d68ce73c83226a/?47000568
  • https://ittnetprovisorio1.websiteseguro.com/FATTURE.html
  • https://moduloj.lamsnajs.site/Modulo32.jpg
  • https://onedrive.live.com/?authkey=%21AN2x201yr0GDysk&id=83F3417C81660A73%21107&cid=83F3417C81660A73&parId=root&parQt=sharedby&o=OneUp
  • https://passo2.appsabs.site/Imagem.png
  • https://www.mediafire.com/file_premium/qo8wk5emjzpjvwi/Pagamento.jar/

MD5

  • 110083a0b68c25737f8122adbdd0b3bd
  • 1f0cbfd23fd120ce448ed96bd441646c
  • 1f0d5ad2ca167d1ae666316e85f2cbb8
  • 236eebb19dfb51258ebfefe8b1a1a937
  • 361becd2652e5e7cb6026b36e6697591
  • 4f1f063247d671cfe660d8f105603e94
  • 582167356ffa4f72b9a6ada93c13b250
  • 5b251fd407ce790f7bcd99580040bdc3
  • 7d23d6cf7834787641a8825f6f9f7b57
  • 7fe180352802d8dcb4ca36a3418025e8
  • 99d5fe14a0d144a3772fd71d2cca37ed
  • ac88fa987a241fc845228cb8940c82a5
  • c0aa51b5514f73683b0506d91adc353f
  • c159fefcaf3609d169d6ea15044d22c7
  • c4cbbf950886528b20015f390c75481c
  • c4d0244af16b3199ca9d744c432882d2
  • de280a47caff9f44d7ba29455edc2355
  • f537f71894afaba91dd2a56e16f9a26c
  • f8df730cc77b4b7fafec11f2f036ee40

SHA1

  • 0112673dc496ae13cd78c12c329bfbf08579f4fa
  • 04cfb05ccc89915f6c263060f1174b5e23167f74
  • 0b265db6a6cc36d4cea8ad88bb4afdb7cc594253
  • 0e5b2033148cc7bb4cf5f390211aa70083707559
  • 287881391ecd467f9815c015d0ed1896f15e2200
  • 45c5cdb9243543ec0eb6a3f68dd0a642cadf67cb
  • 4724d842c2b43bb122a3343a2320ac6b7cf8244e
  • 4fd9f182ecb2ff67c2d35850be28d22a761a37b6
  • 5fbc6f56132392c3fbadcc91df9dcc33abce3f24
  • 629e46d5468b442c4f7dd5806403deb1669d3ae5
  • 63e5ae59deb3a15d652892e0421e540fd9ae08fb
  • 7a87a245532fcea3f3e8d6bedc820f87df9a1526
  • 817cbcd6b87e8395ac7b73e06ffe77071c0f459b
  • 871e231d7fe185a77a901ca34f077966953a6ef3
  • 96fb13713204d63d6de969ba8f736db1a3001742
  • 9d0cd40482b5d997edeaec2dec282a74ff6f4202
  • b812562427b6efd0f78475df07f5a9fbfc38025b
  • d73e29fb07edbd9060d21a865a9ccb0f475c89d5
  • de99730dc46c29e48630c293f52050537741b90f

SHA256

  • 0873fde8f35bd8b3abac62c6215e7b1206fa408af33c38c93fb0b19346697538
  • 222b11cd47d6a4ac28268990d206c13c778f392e3bd39669313d6ce3cfdd4eee
  • 282fac500d4e0c28ed625334abb2b53dbd27a15c499deca73ade200da9169078
  • 440272f2e004e49e44b9e720409b2f9878356b1a946a827ce9a7b673eee5333d
  • 59662b480737b9e4d30e297364a65eb16cf246829c6fdc0f3d5b76175af312c6
  • 5b2505d939f0ab25a3e5688fad062d01058700752413d6adbfbc01c1f6121d88
  • 7065939c43537010f995bbd000ee255309fa19d6d51e06661dd4eebb38254f38
  • 7883ab7cb61c9c5577330461543cd1bc3bb1f9325ee431f784b35a04399b0411
  • 820d359a3a63c92915419345f82908530c162ed9bddc1a4628491f035b27832f
  • a4115c5e3a969669c6cbeb9155d44ac6ca7685144dabdff4f22a865788c06c12
  • b95d401fb5ee111edb1c748da48d702ef6cae3e831fe1bb6999d1913a6d06cc2
  • c118146ed054580bede9f8f65d46e3b4adf3c50067b775a47e7b647eb3556f9c
  • d1f7262335523dfca58bb14cc6a408f2caa46b75f93bbfabc5104276776e1ca8
  • db25cca0219c5d2f94f911e09bf08d94532823b0cd7199a5a10549c72bc7efcb
  • ec691f2cd0b0281c2ae82d8a8dc32e3704d01da682b950c481da554c835342f3
  • f07fae308c4681a38f7097bb3eee10ac6186a6e81eaff9b50f17122dc480add4
  • f1129ab508d02ef94798164ef134de73211e42594ae4620dd210a4381d5f39dd
  • f837cf0fb2f8e744ff61c8e70ac7610763f68a50b82a0c953e74ad28048c2f6f
  • f8665d084257d20e2bdf0d6a4f97b65a8d3fccc8b4fa04353f05a2d01b60216f
Комментарии: 0
Похожие записи
0
1 день
Индикаторы компрометации

Новая волна атак MintsLoader: киберпреступники адаптируются под рабочий график Италии

security
Зафиксирована новая волна вредоносной кампании MintsLoader, уже девятая с начала 2025 года. Этот случай подтверждает, что злоумышленники тщательно изучают рабочие графики в Италии и подстраивают атаки под национальные особенности.
0
2 дня
Индикаторы компрометации

Мошенники атакуют пользователей LiberoMail

phishing
В настоящее время наблюдается масштабная фишинговая кампания, направленная на пользователей итальянского почтового сервиса LiberoMail. Злоумышленники рассылают письма на итальянском языке, в которых требуют оплатить несуществующий счет.
1
3 дня
Индикаторы компрометации

В Италии обнаружили новую кампанию по распространению AsyncRAT с использованием стеганографии

security
27 мая 2025 года итальянский CERT-AGID зафиксировал активную фишинговую кампанию, направленную на заражение систем вредоносным ПО AsyncRAT. Злоумышленники рассылали письма на английском языке, маскируясь
1
3 дня
Индикаторы компрометации

Итальянские киберпреступники рассылают фишинговые письма от имени налоговой службы

phishing
Исследователи CERT-AGID обнаружили масштабную фишинговую кампанию, в ходе которой злоумышленники рассылают поддельные письма от имени итальянского налогового агентства (Agenzia delle Entrate).